Diversity for complex safety-critical computer systems

Abstract

Sicherheitsrelevante und sicherheitskritische Computersysteme spielen heute eine zunehmend wichtige Rolle in unserem Leben. Aktuelle Systeme sind hochkomplex und bestehen aus mehreren Subsystemen, wie modernder Hardware, Betriebssystemen, Middleware und Anwendungen. Die Systemklasse auf die in dieser Arbeit eingegangen wird, sind sicherheitskritische Computersysteme, die auf einer komplexen Plattform laufen, und die einen sicheren Zustand kennen. Es wird gezeigt, dass die zunehmende Komplexität erfordert, sich auf Fehler zu konzentrieren, die schwer zu reproduzieren sind und deren Auftrittscharakteristik zufällig erscheint. Aus diesem Grund wird ein neues Fehlerspektrum definiert, und die Klasse der quasizufälligen Fehler eingeführt. Basierend auf diesen Beobachtungen wird gezeigt, dass Diversität eine ideale Methode ist, die speziell gegen diese Fehlerklasse wirkt, und die sich auf komplexe sicherheitskritische Systeme gut anwenden lässt. Während frühere Literatur sich hauptsächlich auf manuell entwickelte Diversität konzentriert, betrachtet diese Arbeit Diversität als eine umfassende Methode, die auch zur Laufzeit und zur Verifizierung eines Systems angewendet werden kann. Es wird ein Modell präsentiert, welches zeigt wie Diversität eingeführt werden kann und wie Diversität auf Fehler wirkt. Darüber hinaus wird eine umfassende Klassifizierung von Diversität mit einer einheitlichen Terminologie eingeführt, welche auch neuartige Klassen von Diversität für komplexe Systeme wie automatisierte Diversität und inhärente Diversität beinhaltet. Der Effekt der Diversitätsarten auf die Fehlertypen des Fehlermodells wird diskutiert, und eine Struktur einer Argumentationsweise für einen Sicherheitsnachweis wird vorgeschlagen. Schlussendlich wird anhand von Fallbeispielen von real existierenden und fiktionalen Systemen gezeigt, wie die vorgeschlagenen Klassifizierungen angewendet werden können. Es wird außerdem dargelegt, wie Diversität in der Praxis dazu beitragen kann, sicherheitskritische Fehler zu erkennen und zu kontrollieren bevor sie eine Gefahr für die Umgebung darstellen.<br />

Safety-related and safety-critical computer systems play an increasingly important role in our lives. Today's systems of this type are highly complex and consist of several subsystems such as modern hardware, operating systems, middleware and applications. The class of systems discussed in this thesis are safety-critical computer systems running on a complex support platform which possess a fail-safe state.<br />It is shown that the increasing complexity necessitates to focus on fault classes which are hard to reproduce and whose corresponding failure characteristics appear to be random. For this reason, a new fault spectrum is defined and the class of quasirandom faults is introduced. Based on these observations, it is shown that diversity is an ideal method which is especially suitable against this class of faults and which is readily applicable to complex safety-critical systems. While previous literature about diversity focused mainly on manually created development diversity, this thesis focuses on diversity as a comprehensive method, which can also be used during runtime and verification of a system. A model how diversity can be introduced and how it affects the fault and failure characteristics is presented. In addition, a comprehensive diversity classification with a consistent terminology is introduced, which also covers novel diversity types especially applicable for complex systems, such as automatically created diversity and inherent diversity. The effect of the diversity types on the faults of the defined fault model is discussed and an argument structure for potential use in a safety case is given. Finally, case studies of real and fictitious systems show how the suggested fault and diversity classification can be used and how diversity can contribute in practice to detect and control safety-critical faults and failures before they pose a hazard to the environment.